Die Schwachstellen in WordPress-Plugins haben sich im Jahr 2021 mehr als verdoppelt
Was ist gerade passiert? Die Schwachstellen in WordPress-Plugins von Drittanbietern haben im Jahr 2021 erheblich zugenommen, und viele von ihnen haben immer noch bekannte öffentliche Exploits. Das Cybersicherheitsunternehmen Risk Based Security sagte, dass Ende letzten Jahres 10.359 Schwachstellen gemeldet wurden, die WordPress-Plugins von Drittanbietern betreffen, von denen 2.240 im Jahr 2021 offengelegt wurden. Das ist eine Steigerung von 142 Prozent im Vergleich zu 2020, aber die größere Sorge ist die Tatsache, dass 77 Prozent aller bekannten WordPress-Plugin-Schwachstellen – oder 7.993 davon – haben bekannte öffentliche Exploits.
Ein genauerer Blick ergab, dass 7.592 WordPress-Plugin-Schwachstellen aus der Ferne ausnutzbar sind, während 4.797 einen öffentlichen Exploit, aber keine CVE-ID haben. Für Organisationen, die sich nur auf CVEs für die Priorisierung von Abwehrmaßnahmen verlassen, bedeutet letzteres, dass mehr als 60 Prozent der Schwachstellen mit einem öffentlichen Exploit nicht einmal auf ihrem Radar sind.
Ein weiteres Thema, das für Unternehmen bei risikobasierter Sicherheit angesprochen wurde, ist ihr Fokus auf Kritikalität und nicht auf Ausnutzbarkeit.
Das Unternehmen stellt fest, dass viele Unternehmen Schwachstellen mit einem CVSS-Schweregrad von unter 7,0 als nicht hochprior einstufen und sie daher nicht sofort angehen. Das ist ein Problem, wenn man bedenkt, dass der durchschnittliche CVSS-Score für alle WordPress-Plugin-Schwachstellen 5,5 beträgt.
Risk Based Security und andere haben beobachtet, dass böswillige Akteure Schwachstellen nicht mit hohem Schweregrad bevorzugen, sondern solche, die leicht ausgenutzt werden können. Angesichts der Daten und Beobachtungen wäre es vielleicht für einige Unternehmen ratsam, ihre Bedrohungsmanagementprotokolle zu überdenken.
Bildnachweis: Justin Morgan